Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
Kommentar vom Moderator tomolpi am 10.09.2019 um 23:01:31 Uhr
Titel korrigiert

gelöst DNS Snapin zeigt Zugriff verweigert

Mitglied: kizzed

kizzed (Level 1) - Jetzt verbinden

10.09.2019, aktualisiert 23:01 Uhr, 273 Aufrufe, 11 Kommentare

Hallo Leute,

Ich bin ein wenig verzweifelt, da ich beim Kunden aus dem nichts folgendes Phanomen habe:

Sobald ich den Server neustarte funktioniert der DNS auf einem Server 2016 Essentials nicht mehr.
NSLOOKUP zeigt unknown und wenn ich ins DNS Snapin gehen will sagt er "Zugriff verweigert".

Folgender Workaround habe ich schon versucht:

nltest /sc_change_pwd:domainname.local

netdom resetpwd /server:anderer Domänencontroller /userd:domain\administrator /passwordd:Administratorkennwort

Leider ohne Erfolg.

Um den DNS halbwegs zum laufen zu bekommen muss ich den Dienst Kerberos-Schlüsselverteilungscenter beenden, dann den DNS neustarten.
Dann geht er wieder bis zum nächsten neustart.

Allerdings werden dann die GPOs auf dem Server nicht mehr geladen. Auf den Clients schon.

In der EVENTLOG beim DNS steht dann, dass der DNS ohne den Dienst nicht alle Zonen laden konnte und mit niedrigeren Rechten gestartet wurde.

Leider bin ich h ier mit meinem Latein am Ende und bin dankbar für jede Hilfe!
Mitglied: Pjordorf
10.09.2019 um 16:43 Uhr
Hallo,

Zitat von kizzed:
da ich beim Kunden aus dem nichts folgendes Phanomen habe:
Ist eher das geläufige

Sobald ich den Server neustarte funktioniert der DNS auf einem Server 2016 Essentials nicht mehr.
Ereignissprotokoll sagt was dazu?

NSLOOKUP zeigt unknown und wenn ich ins DNS Snapin gehen will sagt er "Zugriff verweigert".
Hast du alle rechte bzw. wurde am Rechtesystem rumgebastelt? Wenn nicht, was sagt das Ereignisprotokoll? CHKDSK mal laufen lassen? SFC /ScanNow mal laufen lassen?

Um den DNS halbwegs zum laufen zu bekommen muss ich den Dienst Kerberos-Schlüsselverteilungscenter beenden, dann den DNS neustarten.
Wie schon mal gesagt, was steht in den Ereignisprotokollen drin?

In der EVENTLOG beim DNS steht dann
Nicht nur nach DNS schauen, alle Ereignisprotokolle seit dem letzten Starten des DCs akribisch durchgehen. Bedenke, einige der Fehler sind folgefehler weil etwas nicht so ist wie erwartet. Was ist es für ein Server OS? DC ja oder nein? Memberserver oder Standaloneservcer?

Gruß,
Peter
Bitte warten ..
Mitglied: kizzed
10.09.2019 um 16:48 Uhr
Bin erst später wieder drauf, dann poste ich ma die Logs...

An den Rechten wurde nichts verändert. Chkdsk alles grün, wie auch SFC.

Server OS ist wie oben beschrieben ein 2016er Essentials und somit ein DC und standalone...
Bitte warten ..
Mitglied: kizzed
10.09.2019 um 21:55 Uhr
So hier mal die Ereignisprotokolle:

Die Active Directory-Domänendienste haben versucht, mit dem folgenden globalen Katalog zu kommunizieren. Die Versuche waren nicht erfolgreich.

Globaler Katalog:
\\Server.PRAXIS.local

Der zurzeit ausgeführte Vorgang kann möglicherweise nicht fortgesetzt werden. Die Active Directory-Domänendienste werden den Domänencontrollerlocator verwenden, um einen verfügbaren globalen Katalogserver zu suchen.

Zusätzliche Daten
Fehlerwert:
5 Zugriff verweigert

Die Active Directory-Domänendienste konnten keine Verbindung mit dem globalen Katalog herstellen.

Zusätzliche Daten
Fehlerwert:
8430 Im Verzeichnisdienst ist ein interner Fehler aufgetreten.
Interne ID:
320130e

Benutzeraktion
Überprüfen Sie, ob der globale Katalog in der Gesamtstruktur verfügbar ist und von diesem Domänencontroller erreicht werden kann. Zur Diagnose dieses Problems können Sie das Hilfsprogramm "nltest" verwenden.

Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".


Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.






Also wie gesagt, ich denke die meisten Fehler haben damit zu tun, dass der DNS Server ohne KDC Dienst nicht alle Zonen lädt...
Mit aktiviertem KDC Dienst bekomme ich eben den DNS Server garnicht hoch. Sondern nur Zugriff verweigert.

NLtest sagt auch:

Nltest /sc_verify:praxis.local
Fehler bei I_NetLogonControl: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
Bitte warten ..
Mitglied: Pjordorf
10.09.2019 um 22:34 Uhr
Hallo,

Zitat von kizzed:
So hier mal die Ereignisprotokolle:
Sind aber nur dir genehme Fehler die du uns Präsentierst. Die Ereignissprotokolle sollten schon fast in rot glühen. Bedenke, du hast verschiedene Ereignisprotokolle. Fang mal mit System an, Datum und Uhrzeit des letzten neustarts oder EreignisID 1074, und ab den neustart alles checken. Dies hier wird nicht alles sein.

5 Zugriff verweigert
Was habt ihr dort gemacht wenn es nicht ein Fehler vom Dateisystem ist?

8430 Im Verzeichnisdienst ist ein interner Fehler aufgetreten.
Oha

Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den
Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".
Folgefehler

Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.
Gemacht bzw. falsches Kennwort korrigiert?

Also wie gesagt, ich denke die meisten Fehler haben damit zu tun, dass der DNS Server ohne KDC Dienst nicht alle Zonen lädt...
Nein, nicht überall iost ein nicht laufender DNS schuld. Du hast aber immer noch nichts zum DNS gesagt.

Mit aktiviertem KDC Dienst bekomme ich eben den DNS Server garnicht hoch. Sondern nur Zugriff verweigert.
Was habt ihr gemacht das überall kommt "Zugriff verwei´gert"?

Nltest /sc_verify:praxis.local
Fehler bei I_NetLogonControl: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
Und dazu stehtr nichts in den Ereignissprotokokllen?

Gruß,
Peter
Bitte warten ..
Mitglied: kizzed
12.09.2019 um 22:25 Uhr
Sorry, aber da sind nur noch NETLOGON Fehler, dass die Zonen nicht aktualisiert werden konnten. Und das ist ja klar, weil DNS nicht läuft.

Du fragst immer was wir gemacht haben?
Wir haben aber nichts gemacht am Server!

Und zu:
Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.

Es existiert kein Eintrag in der Anmeldeinformationsverwaltung. Keine Ahnung woher diese Warning kommt....

Scheinbar ist der SecureChannel zu sich selbst kaputt. Aber ich kann ihn auch nicht mit den oben genannten Methoden und weiteren reparieren!

Vielleicht sollte ich eine Verzeichniswiederherstellung übers Backup machen?
Bitte warten ..
Mitglied: Henere
13.09.2019 um 04:04 Uhr
Servus.
Kontrolliere doch mal, welcher Dienst mit diesem Konto gestartet werden soll.
Evtl wurde dieser User gelöscht durch "Aufräumarbeiten" und keiner hat an die Altlast gedacht.

unbenannt - Klicke auf das Bild, um es zu vergrößern

Grüße, Henere
Bitte warten ..
Mitglied: Pjordorf
13.09.2019 um 13:32 Uhr
Hallo,

Zitat von kizzed:
Wir haben aber nichts gemacht am Server!
Wenn es so ist und keiner etwas gelöscht/geändert hat ist wohl beim Server 2016 (Der DC) etwas an Hardware kaputt gegangen.
Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.
Und doch will irgendein Dienst / Programm sich mit (Domäne\Benutzer) Praxis\Admin anmelden. Zur not sich alle Dienste anschauen welcher Dienst sich so anmelden will. Das sollte aber auch im Ereignisprotokoll ersichtlich werden.

Es existiert kein Eintrag in der Anmeldeinformationsverwaltung. Keine Ahnung woher diese Warning kommt....
Auf dein DC (Server 2016) sich die Benutzer genaustens ansehen. Einer von dort will sich mmit Praxis\Admin anmelden. Konto mal deaktivieren oder so.

Scheinbar ist der SecureChannel zu sich selbst kaputt. Aber ich kann ihn auch nicht mit den oben genannten Methoden und weiteren reparieren!
Auch Fehler zu SChannel werden in Ereignisprotokoll festgehalten.

Vielleicht sollte ich eine Verzeichniswiederherstellung übers Backup machen?
Schon mal gemacht? Was ist neben deb Server 2016 noch alles auf diesen Installiert und Konfiguriert? DC, DNS, DHCP, ...

Gruß,
Peter
Bitte warten ..
Mitglied: kizzed
13.09.2019 um 19:09 Uhr
Hallo!

Es wurden keine Useraccounts gelöscht.

Alle Dienste werden mit Lokaler Dienst, Lokales System oder Netzwerkdienst gestartet.
Bitte warten ..
Mitglied: kizzed
13.09.2019 um 19:34 Uhr
Hallo Leute.

Ich konnte das Problem lösen.

Es gibt scheinbar noch eine versteckte Anmeldeinformationsverwaltung bei der dieser falsche Account hinterlegt war.

Damit konnte ich den fehlerhaften Eintrag löschen:

There are passwords that can be stored in the SYSTEM context that can't be seen in the normal Credential Manager view.

Download PsExec.exe from http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx and copy it to C:\Windows\System32 .

From a command prompt run: psexec -i -s -d cmd.exe

From the new DOS window run: rundll32 keymgr.dll,KRShowKeyMgr

Dannach ging der DNS Server wieder hoch, und alle anderen Eventlogeinträge sind verschwunden.

Domäne läuft wieder sauber.

Danke für eure Unterstützung.
Bitte warten ..
Mitglied: Pjordorf
13.09.2019 um 21:41 Uhr
Hallo,

Zitat von kizzed:
There are passwords that can be stored in the SYSTEM context that can't be seen in the normal Credential Manager view.
Hast du hierzu auch eine Quelle, nein nicht zum PSExec? Ich finde dazu nur RDS/Terminal Server und Event ID 14. Dazu steht aber hier im Thread nichts. Ist das ein TDS/Terinal Server und die Event ID 14 gewesen?
https://www.digitalcitizen.life/credential-manager-where-windows-stores- ...
https://stackoverflow.com/questions/4468677/domain-account-keeping-locki ...
https://www.sciencedirect.com/topics/computer-science/credential-manager
https://joshancel.wordpress.com/2017/01/10/hidden-stored-credentials/
https://btburnett.com/2014/05/windows-domain-account-lockout-mystery.htm ...
https://social.technet.microsoft.com/Forums/lync/en-US/e1ef04fa-6aea-47f ...
https://github.com/gentilkiwi/mimikatz/wiki/howto-~-credential-manager-s ...
Schön wenn dein Server 2016 es wieder tut. (DC oder RSD/TS oder whatsoever)

Gruß,
Peter
Bitte warten ..
Mitglied: kizzed
13.09.2019 um 22:34 Uhr
Das hier ist der Link:

https://social.technet.microsoft.com/Forums/de-DE/e1ef04fa-6aea-47fe-939 ...

Und das hier war das Event mit der ID 14:
Das in der Anmeldeinformationsverwaltung gespeicherte Kennwort ist ungültig, da der angemeldete Benutzer möglicherweise das Kennwort von diesem oder einem anderen Computer geändert hat. Wenn Sie diesen Fehler beheben möchten, öffnen Sie die Anmeldeinformationsverwaltung in der Systemsteuerung, und geben Sie das Kennwort für die Anmeldeinformation "PRAXIS\admin" erneut ein.

Und Peter, es ist immer noch ein Server 2016 Essentials, wie 2 mal geschrieben
Und demnach kann es nur ein DC sein
Bitte warten ..
Ähnliche Inhalte
Windows Server

Zugriff verweigert (Sicherheitsfilterung)

Frage von n0cturneWindows Server9 Kommentare

Hallo zusammen, seit kurzem habe ich das Problem, dass GPOs, die sich auf Clients anwende, nicht mehr greifen. Mein ...

Festplatten, SSD, Raid

Netzlaufwerk - Zugriff verweigert

Frage von Jannis92Festplatten, SSD, Raid1 Kommentar

Moin Administratoren, ich habe ein Problem mit unserem Share-Laufwerk und benötige mal einen kleinen Denkanstoß. Wir stellen auf unserem ...

Netzwerkmanagement

Fehlermeldung: Zugriff verweigert

gelöst Frage von HannodyNetzwerkmanagement9 Kommentare

Hallo, kann mir jemand sagen, warum ich den Befehl: Enter-PSSession -ComputerName herkules in ISE (als Administrator) ausführe, bekomme ich ...

Windows 7

Ordner Zugriff verweigert

gelöst Frage von chnie123Windows 72 Kommentare

Hallo Zusammen, Folgende Situatuion: ein Nutzer aus der Domäne kann auf einen freigegeben Ordner nicht Zugreifen. Es kommt die ...

Neue Wissensbeiträge
Voice over IP

Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie

Erfahrungsbericht von NixVerstehen vor 1 TagVoice over IP6 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...

Apple

Apple Special Event vom 10.09.2019: Arcade, TV+, iPad und iPadOS, Watch und iPhone 11

Information von Trontur vor 3 TagenApple2 Kommentare

Hier könnt ihr euch die Keynote von Tim Cook auf dem Apple Special Event vom 10.09.2019 anschauen: September Event ...

LAN, WAN, Wireless

Das RIPE ist quasi endgültig leer was IPv4 angeht

Information von LordGurke vor 10 TagenLAN, WAN, Wireless8 Kommentare

Das RIPE teilt mit, dass sie erwarten, Ende des Jahres keine /22-IPv4-Allocations (1.024 Adressen) mehr vergeben zu können. Dann ...

Verschlüsselung & Zertifikate

Ein besserer Weg zur Delegation of Control für Bitlocker Recoverykeys

Anleitung von DerWoWusste vor 11 TagenVerschlüsselung & Zertifikate

Will man Supportmitarbeitern ermöglichen, Bitlocker-Recoverykeys auszulesen, dann bietet sich eigentlich der Delegation of Control Wizard an. Ich zeige zunächst ...

Heiß diskutierte Inhalte
Router & Routing
Freitagsfrage: Welche Heimrouter habt ihr zuhause?
Frage von Ex0r2k16Router & Routing28 Kommentare

Huhu, Ich habe eine Fritzbox 7490 an nem 100/40 VDSL der Tkom und die kommt langsam in die Jahre. ...

Exchange Server
Exchange 2013 nach Umzug nicht erreichbar
gelöst Frage von dbox3Exchange Server16 Kommentare

Hallo, die Lösung für mein Problem mag einfach sein. Nur stehe ich irgendwie auf dem Schlauch. ich habe einen ...

Switche und Hubs
Hardwareberatung Switch
gelöst Frage von snowflockeSwitche und Hubs12 Kommentare

Hallo, ich bin ganz neu hier also seit gnädig :-) Ich bin seit 5 Jahre in der IT tätig, ...

Voice over IP
Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie
Erfahrungsbericht von NixVerstehenVoice over IP6 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...